5.4 NIST SP800-30 IT系统风险管理指南(已优化).docx

5.4.1NISTSP800-30IT系统风险管理指南

序号

名称

0

NISTSP800-30简介

0

NISTSP800-30中的风险评估过程介绍

NISTSP800-30简介

美国国家标准和技术学会(NIST)信息技术实验室(ITL)通过对国家测量和标准体系提供技术指导而促进美国经济和公共事业的发展。ITL通过开发测试、测试方法、参考数据、对概念的证明、以及技术分析来改善信息技术的开发和生产应用。ITL的职责包括开发应用于联邦计算机系统中为敏感信息提供经济有效的安全和隐私保护的相关技术性、物理性、行政性和管理性的标准和指导方针。800系列特别报告书是关于TL在计算机安全等领域所进行的研究、指导和成果以及在此领域与业界、政府和学术组织协同工作的报告。

在SP800系列特别报告书中，有关于风险评估的文档很多，包括SP800-26IT系统安全自评估指南，SP800-30IT系统风险管理指南，SP800-53《联邦IT系统推荐的安全控制》。在这一个章节中，我们着重介绍SP800-30IT系统风险管理指南，因为从SP800-26和SP800-53两个报告的内容来看，前者是一个自评估的指南，因此非常注重评估过程的可操作性，而没有过多的关注理论化的内容，读者可以很轻易的理解自评估的过程，并且可以从SP800-26获得几乎整个评估过程所用到的各类文件；后者则是指导风险管理过程中如何选择适当的控制措施，对风险进行处理的指南。所以本章还是希望关注风险评估过程的核心报告书——NISTSP800-30IT系统风险管理指南，风险评估是风险管理的重要过程，在SP800-30报告中，读者可以了解到其针对风险评估过程的内容，并且对于全面的理解风险管理也大有裨益，其他的相关报告读者可以作为进一步了解信息安全风险评估及风险管理的参考。

组织都有其使命，在这个数字化的时代，组织应用自动化的IT系统处理信息以支持其使命的达成，风险管理扮演着保护组织信息资产的重要角色，规避IT相关的风险，同样对组织的使命起到了重要的支持作用。

有效的风险管理过程是整个IT安全规划的重要组成部分，组织风险管理的过程的首要目标应该是为了保护组织及其达成使命的能力，而不仅仅是保护其IT资产。因此风险管理过程不能仅仅当作一个由运作及管理IT系统的专家进行的技术活动，而应该当作是组织的基础管理活动。

指南中描述了风险管理方法，而且结合了系统发展生命周期的各个阶段，说明风险管理过程与系统授权过程的紧密联系。

风险管理包括三个过程：风险评估、风险降低、再评价及评估。指南的第三章描述了风险评估的过程，包括识别及评价风险及风险的影响以及风险处理方法的建议。指南的第四章参考第三章风险评估过程所获得的风险处理的优先级及实施保持适当的风险处理方法的建议，描述了风险降低过程。指南的第五章讨论了持续的评估过程。

NISTSP800-30IT系统风险管理指南，在本CD编写过程中正在对2004年1月发布的草案进行修订，相信不久就可以发布其正式版本，取代其2001年的版本，但总体的结构并不会有太大的变动。

NISTSP800-30中的风险评估过程介绍

风险评估是风险管理的第一步。组织采用风险评估来判定IT系统在其整个生命周期中所关联的潜在的威胁与风险的范围。风险评估的输出是识别适当的控制以在风险降低过程中降低或消除风险。

风险是指已被识别的威胁源利用特定的潜在薄弱点导致不利事件的概率及其影响的函数。为了判定将来不利事件发生的可能性，对于组织IT系统的威胁一定要与系统已经实施的控制及潜在的薄弱点联合起来进行分析。影响来自于威胁利用薄弱点而导致的破坏。其等级由对使命的潜在影响决定，并且是受到影响的IT资产和资源的相对值。风险评估过程包括九个步骤，下面我们将一一说明。

本指南中的风险评估过程分为9个步骤

步骤1、系统描述

步骤2、薄弱点识别

步骤3、威胁识别

步骤4、控制分析

下载高清无水E印

步骤5、可能性判定

步骤6、影响分析

步骤7、风险判定

步骤8、控制建议

步骤9、结果文档

步骤2,3,4和6可以在步骤1之后平行进行。整体的流程如下表所示，接下来我们会分别对每一个步骤给出具体的解释。

风险评估方法流程表

输入

风险评估活动

输出

●硬件●软件

●系统界面

●数据和信息●人员

●系统使命

→

步骤1、系统描述

→

系统周界

系统功能

系统和数据的重要性系统和数据的敏感程度

●以往的风险评估报告

●审核活动的内容

●安全需求

●安全测试结果

→

步骤2、薄弱点识别

→

潜在薄